Los ciberdelincuentes estudian todos los canales de comunicación o mensajería existentes en busca de vías para encontrar nuevas víctimas. Una constante que también se aplica a otras tecnologías como la de los códigos QR (siglas de quick response o respuesta rápida en inglés) que en los últimos años han vuelto a estar en el punto de mira de los hackers.
El resurgimiento de los códigos QR y el peligro del “Quishing“
En 2023, por ejemplo, una estafa con QR afectó a una importante empresa energética estadounidense y los expertos en ciberseguridad advierten de que estos ataques -denominados como quishing– están experimentando un repunte. En realidad, quishing es una combinación de los términos QR y ‘phishing‘, en la que actores maliciosos intentan pescar (fishing significa pesca en inglés) información privada y datos personales de un usuario.
La utilidad y vulnerabilidad de los códigos QR
Desde la pandemia, los códigos QR conocen un importante renacimiento y prácticamente todo el mundo se ha familiarizado con ellos. Se trata de una evolución del tradicional código de barras; una imagen de cuadrados en blanco y negro que actúan como una especie de jeroglífico que es traducido automáticamente al pasar por el escáner de tu teléfono u otro dispositivo. La mayoría de las veces, los códigos QR conducen a una URL de sitios web, pero también pueden hacer aparecer un mensaje de texto sin formato, o listados de aplicaciones, direcciones de mapas, etc.
Es en esa etapa final del proceso dónde pueden aparecer las amenazas: códigos QR que llevan al usuario a webs fraudulentas sin que éste se dé cuenta. Al escanear un código QR suele aparecer escrita una URL que puedes seguir. Pero, habitualmente, es complicado reconocer a simple vista hasta qué punto es segura esa dirección web. Y los objetivos de esos sitios creados por los hackers son los habituales en los delitos telemáticos: conseguir que descargues malware, algo que comprometa la seguridad de tus cuentas o dispositivos o que introduzcas unas credenciales de inicio de sesión.
Precauciones de seguridad
La buena noticia es que las prácticas de seguridad básicas, que todo el mundo debería tener implantadas, deben servir para mantenerte protegido de esta amenaza. Al igual que con los correos electrónicos o los mensajes instantáneos, no debes confiar en los códigos QR si no estás seguro de su procedencia, ya sea porque están adjuntos a correos electrónicos sospechosos o a sitios web que no puedes verificar.
Por lo general, las estafas intentan transmitir una sensación de urgencia y alarma para que el usuario actúe: mensajes del tipo “escanee este código QR para verificar su identidad o evitar la eliminación de su cuenta” o “aprovecha una oferta de tiempo limitado”.
Protegiendo tus cuentas digitales
Tus cuentas digitales deben estar lo más protegidas posible, de modo que si en algún momento eres víctima de una estafa de código QR, dispongas de protecciones adecuadas: activa la autenticación de doble factor en todas las plataformas que la ofrezcan, asegúrate de que tus datos personales están actualizados (como direcciones de correo electrónico y números de teléfono de reserva que puedan utilizarse para recuperar tus cuentas) y cierra la sesión de los dispositivos que ya no utilices (también deberías eliminar las cuentas antiguas que ya no necesites).
Mantenimiento del software y navegación segura
Por último, asegúrate de mantener actualizado el software. Las últimas versiones de los navegadores móviles más populares incorporan tecnología para detectar enlaces fraudulentos.
Aunque estas protecciones integradas no son infalibles, cuanto más actualizados estén tu navegador y el sistema operativo de tu móvil, más probabilidades tendrás de recibir una advertencia en pantalla si estás a punto de visitar un lugar no seguro en la Red.